WO2014204231A1 - 작은 메모리 구현 환경에 적합한 암호 인증 및 복호 검증 방법 및 전자 장치 - Google Patents

Abstract

본 발명에 따른 암호 인증은 비밀 정보를 이용하여 제 1 함수에 의해 제 1 암호 연산을 수행하는 단계; 상기 비밀 정보 없이 상기 제 1 암호 연산의 결과값을 이용하여 제 2 함수에 의해 제 2 암호 연산을 수행하는 단계; 및 상기 제 1 암호 연산의 결과값 혹은 상기 제 2 암호 연산의 결과값 및 상기 비밀 정보를 이용하여 제 3 함수에 의해 제 3 암호 연산을 수행하는 단계를 포함한다. 또한 본 발명에 다른 복호 검증은 상기 제 3 암호 연산의 결과값에 따라 상기 제 1 암호 연산의 결과값의 전체 혹은 일부 값과 연관된 값을 상기 복호 모듈로 출력할 지를 결정하는 단계를 포함한다.

Description

작은 메모리 구현 환경에 적합한 암호 인증 및 복호 검증 방법 및 전자 장치

본 발명은 메모리 사용에 제약이 있는 환경에서의 암호 인증 및 복호 검증 방법 및 그것을 포함하는 전자 장치에 관한 것이다.

해킹 및 다양한 공격 기술의 발달로 인하여, 크립토 모듈(Cryptographic Module)에 기반한 암호 연산의 필요성이 대두됨에 따라 크립토 모듈에 기반한 암호연산 기법에 대한 연구가 중요시되고 있다. 크립토 모듈은 크립토 모듈 안에 비밀키 값 혹은 임시 비밀 키 혹은 비밀 난스 혹은 패스워드와 같은 비밀 정보(Secret Information)와 암호 함수가 있어서 외부의 공격자로부터 안전하게 모듈 내에서 연산을 수행함으로, 비밀 정보를 보호하고 비밀 정보를 안전하게 사용하여 원하는 연산을 안전하게 수행하는 데에 있다.

크립토 모듈은 부 채널 공격, 오류 주입 공격 등의 다양한 공격에 안전하도록 설계되어야 하고, 크립토 모듈의 면적이 크면 클수록 설계 및 구현 비용이 증가하므로 크립토 모듈 안에는 사용 가능한 메모리 크기에 제약이 따른다.

메시지 해싱이나 인증의 경우에는 일반적으로 작은 메모리만으로 구현이 가능한 반면, 메시지 암호화와 인증 및 검증을 동시에 요구하는 암호 인증 및 복호 검증의 경우에는 인증 코드를 검증하기 이전에는 이미 공개된 정보 (Public Information, 가령, 부가 정보 Assoicate Data, 혹은 공개된 난스 Public Nonce)를 제외한 보호하기를 원하는 평문의 일부 정보도 노출되어서는 안 된다. 여기서 암호 인증은 비밀 정보를 이용하여 주어진 평문(이때, 부가정보, 공개 난스 등의 공개 정보들이 함께 주어질 수 있음)으로부터 암호문과 인증 코드를 발생하는 과정을 말하고, 복호 검증이란 비밀 정보를 이용하여 주어진 암호문과 인증 코드(이때, 부가정보, 공개 난스 등의 공개 정보들이 함께 주어질 수 있음)로부터 인증 코드가 올바른지를 체크하고, 인증 코드가 올바른 경우에만 암호문에 대한 올바른 평문(혹은 메시지)를 복구하게 된다.

일반적인 대부분의 복호 검증 기법들의 경우 암호문의 크기가 증가할수록 요구되는 메모리 크기 또한 증가한다. 따라서, 기존의 대부분의 복호 검증 기법들의 경우 메모리 사용이 제약된 크립토 모듈에서는 빅데이터에 대한 복호 검증 구현이 불가능하다.

기존의 대부분의 암호 인증, 복호 검증 기법은 암호문의 변조 유무를 파악하기 위한 메모리 사용 요구량에 대한 기준 없이 개발되어 사용되어 왔다. 혹은 암호 인증 과정과 복호 검증 과정이 상이하게 달라, 구현 효율성 및 구현 비용 측면에서 단점을 지니고 있다. 이는 암호 인증 과정과 복호 검증 과정을 독립적으로 구현해야 하는 부담이 있기 때문이다. 또한 해킹 등 다양한 공격 기법의 발달로 인하여 크립토 모듈에 대한 필요성이 대두됨에 따라 크립토 모듈에 기반한 암호 인증 및 복호 검증 기법이 중요하게 되었다. 하지만, 현존하는 대부분의 암호 인증, 복호 검증 기법은 암호문 변조 검증 시 메모리 사용에 대한 언급이 없으며, 무엇보다 이들 대부분의 암호 인증, 복호 검증 기법은 대상이 되는 암호문의 크기가 길어짐에 따라 요구되는 메모리 크기 양도 증가한다. 따라서 크립토 모듈 내에서 효율적으로, 동시에 적은 메모리 사용량으로 암호문 변조를 검증하고 안전하게 평문을 출력하는 기법에 대한 개발이 요구된다. 또한, 암호 인증 과정과 복호 검증 과정을 최대한 유사하게 설계함으로 중복되는 부분을 최소화시키면서 구현 효율성을 높이고, 구현 비용을 절감할 수 있다.

크립토 모듈과 복호 모듈을 갖는 전자 장치의 암호 인증 및 복호 검증 방법에 있어서: 암호 인증은 비밀 정보를 이용하여 제 1 함수에 의해 제 1 암호 연산을 수행하는 단계; 상기 비밀 정보 없이 상기 제 1 암호 연산의 결과값을 이용하여 제 2 함수에 의해 제 2 암호 연산을 수행하는 단계; 및 상기 제 1 암호 연산의 결과값 혹은 상기 제 2 암호 연산의 결과값 및 상기 비밀 정보를 이용하여 제 3 함수에 의해 제 3 암호 연산을 수행하는 단계를 포함한다. 복호 검증은 상기 제 3 암호 연산의 결과값에 따라 상기 제 1 암호 연산의 결과값의 전체 혹은 일부 값과 연관된 값을 상기 복호 모듈로 출력할 지를 결정하는 단계를 포함한다.

실시 예에 있어서, 상기 비밀 정보는 비밀 키 혹은 비밀 난스 혹은 임시 비밀 정보이다.

실시 예에 있어서, 상기 비밀 정보는 상기 크립토 모듈 내부에서 발생된다.

실시 예에 있어서, 상기 제 1 함수는 부가 정보(Associate Data)를 상기 크립토 모듈의 외부로부터 입력 받는다.

실시 예에 있어서, 상기 제 1 함수의 결과값은 적어도 하나의 제 1 출력값 혹은 적어도 하나의 제 2 출력값을 포함하고, 상기 적어도 하나의 제 1 출력값은 상기 제 2 함수에 입력된다.

실시 예에 있어서, 상기 제 2 함수는 암호 인증시 평문을 암호문으로 암호화한다.

실시 예에 있어서, 상기 제 3 함수는 상기 암호 인증시 상기 제 1 함수의 적어도 하나의 제 2 출력값 혹은 상기 제 2 함수의 출력값을 입력받고, 인증 코드를 발생한다.

실시 예에 있어서, 상기 제 3 함수는 복호 검증시 상기 발생된 인증 코드와 입력된 인증 코드를 비교함으로써 상기 인증 코드가 유효한 지를 판별한다.

실시 예에 있어서, 상기 인증 코드가 유효하지 않다면, 상기 제 1 함수의 상기 적어도 하나의 출력값의 전체 혹은 일부와 연관된 값을 상기 복호 모듈에 출력하지 않고, 복호 동작이 종료된다.

실시 예에 있어서, 상기 인증 코드가 유효하다면, 상기 제 1 함수의 상기 적어도 하나의 출력값의 전체 혹은 일부와 연관된 값을 상기 복호 모듈로 출력하는 단계를 더 포함한다.

실시 예에 있어서, 상기 복호 모듈에서 상기 적어도 하나의 출력값의 전체 혹은 일부와 연관된 값을 이용하여 평문을 복호화시키는 단계를 더 포함한다.

실시 예에 있어서, 상기 제 1 적어도 하나의 출력값 혹은 상기 제 2 적어도 하나의 출력값을 상기 크립토 모듈의 내부 메모리에 임시로 저장하는 단계를 더 포함한다.

본 발명의 실시 예에 따른 전자 장치는, 제 1 함수, 제 2 함수, 및 제 3 함수를 이용하여 암호 인증을 수행하고, 상기 제 1 함수 및 상기 제 3 함수를 이용하여 복호 검증을 수행하는 크립토 모듈; 및 상기 복호 검증시 상기 제 3 함수의 결과값에 따라 상기 제 1 함수의 결과값을 입력 받고, 상기 제 1 함수의 결과값과 연관된 값을 이용하여 평문을 복호화시키는 복호 모듈을 포함한다.

실시 예에 있어서, 상기 제 1 함수, 상기 제 2 함수, 및 상기 제 3 함수 각각은 치환 함수 기반 함수이다.

실시 예에 있어서, 상기 제 1 함수 및 상기 제 3 함수 각각은 공유된 비밀키 혹은 난스 혹은 임시 비밀 정보를 이용하여 상기 암호 인증을 수행한다.

실시 예에 있어서, 상기 제 1 함수 및 상기 제 3 함수 각각은 임시 비밀 정보를 이용하여 상기 암호 인증을 수행한다.

실시 예에 있어서, 상기 제 1 함수, 상기 제 2 함수, 및 상기 제 3 함수 각각은 블록 암호 기반 함수이다.

실시 예에 있어서, 크립토 모듈과 복호 모듈을 갖는 전자 장치의 암호 인증 및 복호 검증 방법에 있어서: 암호 인증은 제 1 함수에서 인증 코드와 비밀 정보를 이용하여 제 1 출력값을 발생하는 제 1 암호 연산 단계; 제 2 함수에서 상기 비밀 정보 없이 상기 제 1 암호 연산의 제 1 출력값과 평문을 이용하여 암호문을 출력하는 제 2 암호 연산 단계; 및 제 3 함수에서 상기 비밀 정보와 상기 평문을 이용하여 상기 인증 코드를 발생하는 단계를 포함한다. 그리고 복호 검증은 상기 제 3 암호 연산의 결과값에 따라 상기 제 1 암호 연산의 결과값의 전체 혹은 일부 값과 연관된 값을 상기 복호 모듈로 출력할 지를 결정하는 단계를 포함한다.

실시 예에 있어서, 상기 제 1 함수 및 상기 제 3 함수는 난스 값 혹은 카운터 값을 이용하지 않고 크립토 모듈들 사이에 공유된 비밀 키를 이용하여 상기 암호 인증을 수행한다.

실시 예에 있어서, 상기 제 1 함수는 상기 공유된 비밀 키와 상기 인증 코드를 이용하여 상기 제 2 함수에서 사용될 암호 키를 발생한다.

상술한 바와 같이 본 발명에 따른 논리 연산을 이용하여 작은 메모리로 암호 인증 기법, 복호 검증을 크립토 모듈과 복호 모듈을 이용하여 안전하게 구현함으로 비밀 정보를 안전하게 보호할 수 있다.

도 1은 본 발명의 실시 예에 따른 전자 장치를 예시적으로 보여주는 블록도이다.

도 2는 본 발명의 실시 예에 따른 암호 인증 기법에 대한 제 1 실시 예를 보여주는 도면이다.

도 3은 본 발명의 실시 예에 암호 인증 방법을 예시적으로 보여주는 흐름도이다.

도 4는 본 발명의 다른 실시 예에 따른 전자 장치를 예시적으로 보여주는 도면이다.

도 5는 치환 함수 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 6는 도 5에 도시된 치환 함수 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

도 7은 비밀 난스를 사용한 경우에 대한 치환 함수 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 8은 도 7에 도시된 치환 함수 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

도 9는 임시 비밀 키 쌍 (N, N’)을 이용한 치환 함수 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 10은 도 9에 도시된 치환 함수 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

도 11은 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 12는 도 11에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

도 13은 체크썸 발생 방식, 패딩 방식을 변경한 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 14는 도 13에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

도 15는 임시 비밀 정보 난스를 이용한 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 16은 도 15에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

도 17은 난스 혹은 카운터 값을 사용하지 않는 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다.

도 18은 도 17에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다.

본 발명의 실시를 위한 최선의 형태를 보여주는 도면은 도 1이다.

아래에서는 도면들을 이용하여 본 발명의 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있을 정도로 본 발명의 내용을 명확하고 상세하게 기재할 것이다.

일반적인 대부분의 암호 인증, 복호 검증 방법은 암호 인증 시의 효율성이 강조되어 설계되었을 뿐, 암호문의 변조 유무를 파악하기 위한 메모리 사용 요구량에 대한 기준 없이 개발되어 사용되어 왔다. 해킹 등 다양한 공격 방법의 발달로 인하여 크립토 모듈에 대한 필요성이 대두됨에 따라 크립토 모듈에 기반한 암호 인증 방법이 중요하게 되었다. 하지만, 현존하는 대부분의 암호 인증 방법은 암호문 변조 검증 시 메모리 사용에 대한 언급이 없으며, 무엇보다 이들 대부분의 암호 인증 방법은 대상이 되는 암호문의 크기가 길어짐에 따라 요구되는 메모리 크기 양도 증가한다. 따라서 효율적으로 동시에 적은 메모리 사용량으로 암호문 변조를 검증하고 안전하게 평문을 출력하는 방법에 대한 개발이 요구된다. 또한, 구현 효율성을 높이고 구현 비용을 절감하기 위해서, 암호 인증 기법과 복호 검증 기법이 유사하도록 설계해야 한다.

일반적으로 복호 검증 과정에서는 암호문에 대한 위조 혹은 변조를 파악하기 위해 인증 코드 값을 체크한다. 이로 인해, 대부분의 방식들의 경우에 인증 코드 값을 체크하기 전까지 암호문 혹은 평문을 크립토 모듈 내에 저정하거나 크립토 모듈은 평문을 숨기기 위하여 평문을 또다시 암호화해서 외부로 전달해야 하는 이중 부담을 안고 있다. 복호 검증을 위해서 또다시 암호화를 수행해야 하는 방식은 구현의 효율성을 저해할 뿐 아니라, 구현의 비용을 증가시키며, 무엇보다 크립토 모듈과 외부 기기 간의 통신 량의 증가를 가져오게 된다. 본 발명에서는 암호문 혹은 메시지 (혹은 평문)를 크립토 모듈 내에 저장하지 않고, 크기가 작은 일부 내부 상태 값만을 저장함으로 복호 검증이 가능한 설계 논리를 제시한다. 또한 암호 인증 과정과 복호 검증 과정이 유사한 암호 연산에 기반함으로 구현 효율성을 높이고 구현 비용을 낮을 수 있다. 또한 본 발명의 또다른 장점은 특정 내부 상태 값만을 외부에 전달하기 전까지 그 어떤 내부 상태 정보를 외부에 전달하지 않아도 된다는 점이다. 이는 외부 기기와 크립토 모듈 간의 통신의 부하를 줄이는 장점을 극대화할 수 있게 된다.

본 발명의 실시 예에 따른 암호화 시스템의 안전한 암호 연산 방법은, 크립토 모듈과 복호 모듈을 갖는 전자 장치의 암호 인증 및 복호 검증 방법에 있어서: 암호 인증은 비밀 정보를 이용하여 제 1 함수에 의해 제 1 암호 연산을 수행하는 단계; 상기 비밀 정보 없이 상기 제 1 암호 연산의 결과값을 이용하여 제 2 함수에 의해 제 2 암호 연산을 수행하는 단계; 및 상기 제 1 암호 연산의 결과값 혹은 상기 제 2 암호 연산의 결과값 및 상기 비밀 정보를 이용하여 제 3 함수에 의해 제 3 암호 연산을 수행하는 단계를 포함한다. 복호 검증은 상기 제 3 암호 연산의 결과값에 따라 상기 제 1 암호 연산의 결과값의 전체 혹은 일부 값과 연관된 값을 상기 복호 모듈로 출력할 지를 결정하는 단계를 포함한다.

도 1은 본 발명의 실시 예에 따른 크립토 모듈을 설명하기 위한 전자 장치(100)를 예시적으로 보여주는 블록도이다. 도 1을 참조하면, 전자 장치(100)는 크립토 모듈(120) 및 복호 모듈(140)을 포함한다. 여기서 전자 장치(100)는 암호를 필요로 하는 모든 장치, 예를 들면, 컴퓨터, 태블릿 PC, 스마트 폰, 모바일 폰, 스마트 카드, 메모리 카드, 센서, RFID, 사물 인터넷 등이 될 수 있다.

크립토 모듈(120)은 그 내부에 비밀 키 혹은 임시 비밀 난스 혹은 패스워드 등과 같은 비밀 정보와 암호 함수를 구비함으로써, 외부의 공격자로부터 안전하게 모듈 내에서 암호 연산을 수행할 수 있다. 크립토 모듈(120)은 부 채널 공격, 오류 주입 공격 등의 다양한 공격에 안전하도록 설계될 수 있다. 크립토 모듈(120)은 면적이 크면 클수록 설계 및 구현 비용이 증가하므로, 모듈 내에서 사용 가능한 메모리 크기에 제약이 따른다. 크립토 모듈(120)의 구성 및 동작 원리는 아래에서 설명하도록 하겠다.

크립토 모듈(120)은 자신의 내부에 암호 인증을 위하여 제 1 함수(121), 제 2 함수(122) 및 제 3 함수(123)를 구현할 수 있다.

제 1 함수(121)는 외부로부터 부가 정보(A)와 내부적으로 난스(N) 및 비밀키(K)를 입력 받고, 적어도 하나의 제 1 출력값(OUT1, 혹은 "결과값") 혹은 적어도 하나의 제 2 출력값(OUT2, 혹은 "결과값")을 발생한다. 여기서 부가 정보(A)는 메시지의 헤드 정보일 수 있다. 상기 제 1 함수는 부가 정보를 이용하지 않을 수도 있다. 실시 예에 있어서, 제 2 출력값(OUT2)이 없을 수도 있다. 만약 난스 N이 공개된 값인 경우, 외부로부터 난스 N의 값을 입력 받을 수도 있다. 난스 값 대신 공개된 카운터 값이 될 수도 있다. 비밀 키 대신 비밀 키로부터 발생된 임시 비밀 난스와 같은 임시 비밀 정보를 입력으로 받을 수도 있다.

제 2 함수(122)는 외부로부터 평문(M, plaintext)과 제 1 함수(121)로부터 제 1 출력값(OUT1)를 입력 받고, 암호문(C, ciphertext)과 적어도 하나의 제 3 출력값(OUT3, 혹은 "결과값")을 발생한다. 실시 예에 있어서, 암호화 동작시 블럭 단위의 평문(M)이 입력되고, 블럭 단위의 암호문(C)이 출력될 수 있다. 크립토 모듈 내에 메모리의 크기에 여유가 있다면, 블록 단위 대신 여러 블록 단위로 암호 연산을 수행할 수 있다. 상기 제 2 함수에는 상기 제 1 출력값과 평문 외에 공개된 정보인 부가 정보 혹은 공개 난스 값 혹은 카운터 값을 입력으로 받을 수 있다.

제 3 함수(123)는 외부로부터 부가 정보(A), 내부적으로 난스(N) 및 비밀키(K), 제 1 함수(121)로부터 제 2 출력값(OUT2) 혹은 제 2 함수(122)로부터 제 3 출력값(OUT3)을 입력 받고, 인증 코드(T)를 발생한다. 이때, 제 3 출력값(OUT3)은 반드시 입력되어야 한다. 이때, 제 3 함수(123)는 부가 정보(A), 난스(N), 제 2 출력값(OUT2) 혹은 비밀 키 값 중 일부만 실제 연산 시 사용할 수 있다. 또한, 제 3 함수(123)는 복호 검증 동작시 외부로부터 입력된 인증 코드(T)가 유효한 지를 판별할 수 있다. 제 3 함수에서는 부가 정보 혹은 공개 난스와 같은 공개 정보가 사용되지 않을 수도 있다. 난스 혹은 비밀 키 대신 비밀 키로부터 발생된 임시 비밀 정보가 제 3 함수(123)의 입력 값으로 사용될 수도 있다.

실시 예에 있어서, 크립토 모듈(120) 내에서 암호 인증 동작시 전체 함수들(121, 122, 123)이 사용되고, 크립토 모듈(12) 내에서 복호 검증 동작시 일부 함수들(121, 123)과 함수(122)의 역변환 과정이 사용될 수 있다.

크립토 모듈 외부에 위치한 복호 모듈(140)은 크립토 모듈(120)의 제 2 함수(122)와 동일하거나 유사한 복호 함수(142)로 구현될 수 있다. 복호 함수(142)는 크립토 모듈(120)의 제 1 함수(121)의 출력값(OUT1) 혹은 그것의 변형된 값(OUT1')을 입력 받고, 비밀키(K)에 대한 정보 없이 암호문(C)으로부터 평문(M)을 복호화시킬 수 있다. 이때, 상기 복호 함수에 공개된 부가 정보가 추가적으로 사용될 수 있다. 제 1 함수(121)의 출력값(OUT1)의 전체 혹은 일부와 연관된 (혹은 관련된) 값(OUT1')의 복호 모듈(140)으로의 전송 여부는 입력된 인증 코드(T)가 유효한지 여부에 따라 결정될 수 있다.

실시 예에 있어서, 연관된 값은, 서로 임의의 독립된 값이 아니라, 하나의 값이 다른 하나의 값에 영향을 주는 경우를 말한다. 다른 실시 예에 있어서, 연관된 값은, 하나의 값을 통해 다른 하나의 값에 대한 정보의 일부가 노출됨을 뜻한다. 또 다른 실시 예에 있어서, 연관된 값은, 두 값 자체로서 연관성을 가짐을 뜻한다. 반대로 두 개의 값 a,b가 있을 때, a와 b가 a=b xor r (여기서 r은 랜덤 비밀 값)의 관계로 정의된 경우, a 값으로부터 b 값을 전혀 유추할 수 없기 때문에, 이때 a와 b는 연관성이 없다고 말한다. 즉, a와 b가 연관성이 있다고 말하려면, 비밀 정보를 포함하지 않은 어떤 함수 f에 의해 a=f(b)의 관계가 성립할 경우, 우리는 본 발명에서 a와 b는 함수 f로 연관성이 있다고 말한다.

이처럼, 외부 복호 모듈(140)에 전달되는 값은 OUT1과 연관이 있는 OUT1'이 된다. 이때, 요구되는 조건은 외부 복호 모듈이 T1'으로부터 OUT1' 중 암호문을 복호화하기 위한 최소한의 정보를 얻을 수 있어야 한다. 이처럼, 크립토 모듈은 자신의 내부 상태 값과 연관된 값을 외부 복호 모듈에 전달하는 것이 본 발명의 특징이다. 본 발명은 또한 여러번이 아닌, 단 한번만 복호 모듈에 OUT1'을 전달함으로 효율성을 극대화하도록 설계된다. 인증 코드(T)가 유효할 때, 제 1 함수(121)의 출력값(OUT1)의 일부 혹은 그것의 전체 값과 관련된 값이 복호 모듈(140)로 전송된다. 또한 제 1 함수(121), 제 2 함수(122), 제 3 함수(123)을 거의 그대로 유사하게 사용하기 때문에 구현 비용을 최소화할 수 있다.

구체적으로 크립토 모듈(120)와 복호 모듈(140)을 이용한 암호 인증 및 복호 검증 과정을 상세하게 설명하면 다음과 같다.

먼저, 아래에서는 암호 인증 과정을 설명하겠다. 크립토 모듈(120)을 통해 암호 인증 과정을 수행하는 경우, 외부에서 부가정보 A와 평문 M을 입력으로 받는다. 여기서 A는 빈 스트링이 될 수도 있고, A 값이 없을 수도 있다. 그리고 난스 값 N은 공개 값이거나 비밀 값일 수도 있다. 난스 값을 외부로부터 받을 수도 있고 그렇지 않을 수도 있다. 난스 값이 랜덤 값이 될 수 있고 혹은 카운터 값이 될 수 있고 혹은 일정한 패턴을 가지고 발생될 수도 있다.

그러면 크립토 모듈(140) 내에서 제 1 함수에 A, N, K를 입력으로 받아 (이때, N이 임시 비밀 정보일 경우, 비밀 키 K가 필요 없을 수도 있다.) 제 1 출력값 혹은 제 2 출력값 (이때, 제 2 출력값이 없을 수도 있다. 반면 상기 제 1 출력값은 반드시 필요하다.)을 출력하게 되는데, 이때 제 1 출력값 일부 혹은 전체 정보는 나중에 복호 모듈(140)에 중요하게 쓰이게 된다. 그러나, 암호 인증 과정 중에서는 상기 1 출력값을 저장해 놓지 않아도 된다.

이어서, 제 2 함수에서 상기 제 1 출력 정보를 이용하여 평문 M을 블록 단위로 입력 받아 암호문 블록를 발생하여 외부 기기로 출력하고, 최종 제 3 출력값을 출력한다. 이때 평문 혹은 암호문을 블록 단위로 처리하지 않고, 여러 블록을 합친 단위로 암호 연산을 수행할 수도 있다. 이때, 제 2 함수에서 부가 정보 혹은 공개 난스와 같은 공개 정보가 사용될 수 있다.

끝으로, 제 3 함수를 이용하여 상기 제 3 출력값을 입력으로 받아 (이때, 상기 제 2 출력값이 없을 수도 있고, 사용하지 않을 수도 있다.) 최종 인증코드 T를 발생하여 외부 기기에 전달한다. 상기 제 3 함수는 비밀 정보 외에 공개 정보를 함께 이용할 수도 있다.

이번엔 크립토 모듈(120)과 외부 복호 모듈(140)을 이용한 복호 검증 과정을 설명한다. 복호 검증을 수행하는 경우, 크립토 모듈은 외부로부터 부가정보 A와 암호문 C, 인증코드 T를 입력으로 받는다. 경우에 따라 N이 공개된 값을 경우, N을 외부로부터 입력 받을 수도 있다. 경우에 따라 부가 정보가 없을 수도 있다. 경우에 따라 카운터와 같은 공개 정보를 입력으로 받을 수 있다. 그러면 상기 제 1 함수를 이용하여 상기 제 1 출력값을 발생하여 (이때, 상기 제 2 출력값 정보가 없을 수도 필요 없을 수도 있다.) 이때, 상기 제 1 출력값 일부 혹은 전체 정보와 연관된 값을 크립토 모듈(120) 내의 메모리에 저장한다. 이어서 상기 제 2 함수의 역연산 과정을 수행한다. 이때 제 2 함수의 역연산 과정의 입력 값은 상기 제 1 출력값과 암호문이 된다. (이때 말하는 암호문은 암호문 전체가 아닐 수도 있다. 예를 들어 비밀 정보를 이용하여 발생된 C0를 제외한 나머지 암호문이 상기 제 2 함수의 입력값으로 적용될 수 있다.) 그리고 평문을 외부 기기에 전달하지 않을 상태에서 제 3 출력 정보에 해당하는 값을 계산한다. 여기서 역연산 과정을 수행하기 위하여 부가 정보 혹은 공개 난스와 같은 공개 정보가 함께 사용될 수 있다.

끝으로, 크립토 모듈(120) 내의 상기 제 3 함수는 상기 제 3 출력값을 (이때, 상기 제 2 출력값이 필요 없을 수도 있다.) 이용하여 인증 코드 값 T ' 을 발생하고, 외부 기기로부터 주어진 T와 T ' 을 비교하여 맞으면, 크립토 모듈은 상기 크립토 모듈 내의 메모리에 안전하게 저장된 상기 제 1 출력값 (OUT1)과 관련된 값 (OUT1’)을 (이때, OUT1과 OUT1’이 같을 수도 있고, 다를 수도 있다. OUT1'은 OUT1의 일부 정보일 수도 있다. 단, OUT1’를 이용하여 복호화에 필요한 OUT1에 대한 전체 혹은 일부 정보를 얻을 수 있어야 한다.) 외부 복호 모듈(140)에 전달한다. 최종적으로, 크립토 모듈과 복호 모듈을 포함하는 외부 장치는 복호 모듈(140) 내의 제 2 함수 ’(142)을 이용하여 암호문으로부터 최종 평문을 복호화할 수가 있다. 이때 복호화를 위하여 부가 정보 혹은 공개 난스 등과 같은 공개 정보가 이용될 수 있다.

요약하여 설명하면, 도 1에 따른 암호 인증 시에는 제 1 함수 -> 제 2 함수-> 제 3 함수 순서로 연산을 수행하고, 복호 검증 시에는 제 1 함수-> 제 1 출력값 연관 정보 저장 -> 제 2 함수 역변환 -> 제 3 함수 -> 제 2 함수 ' 으로 연산을 진행하게 된다.

도 2는 본 발명의 실시 예에 따른 암호 인증 기법에 대한 제 1 실시 예를 보여주는 도면이다. 도 2를 참조하면, 크립토 모듈(120)은 제 1, 제 2 및 제 3 함수들(121, 122, 123)을 이용하여 비밀키(K, Key), 난스(N, Nonce), 부가 정보( A, Associate Data), 평문(M, Plaintext) 입력 받고, 암호문(C, Ciphertext) 및 인증 코드(T)를 출력한다.

제 1 함수(121)는 비밀키(K), 난스(N), 부가 정보(A)를 입력 받고, 제 1 출력값(OUT1) 및 제 2 출력값(OUT2)을 출력한다. 이때, 비밀 키, 난스, 부가 정보 중 일부 만 사용될 수도 있다. 이때, 경우에 따라, 제 2 출력값(OUT2)가 없을 수도 있다. 제 2 함수(122)는 제 1 출력값(OUT1)과 평문(M)을 입력 받고, 암호문(C)와 제 3 출력값(OUT3)을 출력한다. 이때, 암호문 발생시, 부가 정보 혹은 공개 난스와 같은 공개 정보가 함께 사용될 수 있다. 제 3 함수(123)는 비밀키(K), 난스(N), 부가 정보(A), 제 2 출력값(OUT2) 및 제 3 출력값(OUT3)을 입력받고, 인증 코드(T)를 출력한다. 여기서, 비밀키(K)는 비밀키 값이고, 난스(N)는 랜덤한 난스 값 혹은 카운터 값이고, 부가 정보(A)는 공개된 부가 정보이다. 이때, 제 3 함수에서 비밀 키, 난스, 부가 정보, 제 2 출력값 중 일부만 사용될 수 있다.

한편, 도 2에 도시된 암호 인증 기법에 따른 변조 검증 및 최종 평문 출력 과정은 다음과 같다. 암호문(C)과 인증 코드(T)에 대한 변조 유무를 검증하고, 최종 평문(M)을 출력하기 위하여 다음과 같은 과정을 거친다.

제 1 단계에서는, 크립토 모듈(120)은 전자 장치(100)로부터 부가 정보(A), 암호문(C), 인증 코드(T), 난스(N)를 입력 받는다. 여기서 난스(N)는 크립토 모듈(120) 외부에서 입력될 수도 있고, 크립토 모듈(120) 내부에서 발생될 수도 있다. 여기서, 전자 장치(100)로부터 입력된 값들은 크립토 모듈(120)에 한번에 전송되지 않고, 크립토 모듈(120) 내부의 작은 메모리에 한 블록씩 전송되고 (이때 메모리가 여유가 있다면, 여러 블록씩 전송될 수도 있다.), 크립토 모듈(120)의 제 3 함수(123)는 인증 코드(T)를 계산한다.

제 2 단계에서는, 크립토 모듈(120)의 제 1 함수(121)는 입력된 비밀키(K)를 이용하여 제 1 출력값(OUT 1)을 계산 및 저장한다. 그리고, 제 3 함수(123)는 최종 인증 코드(T) 값이 맞는지 검증한다. 계산된 인증 코드(T)와 입력된 인증 코드(T) 값이 일치하지 않으면, 입력된 암호문(C)은 변조된 것으로 처리된다. 따라서, 그 어떤 평문의 일부도 출력되지 않는다.

제 3 단계에서는, 계산된 인증 코드(T)와 입력된 인증 코드(T) 값이 일치하면, 크립토 모듈(120)은 제 1 함수(121)의 제 1 출력값(OUT1)의 전체 혹은 그것의 일부와 연관된 값(OUT1')을 크립토 모듈(120)의 외부의 복호 모듈(140)으로 출력한다.

제 4 단계에서는, 복호 모듈(140)은 복호 함수(142)를 이용하여 크립토 모듈(120)의 외부로 출력된 OUT1'을 입력 받고, 암호문(C)을 최종 평문(M)으로 복호화한다. 이때, 복호화하는 과정에서 부가 정보 혹은 공개 난스와 같은 공개 정보가 함께 사용될 수도 있다.

도 3은 본 발명의 실시 예에 따른 암호 인증 방법을 보여주는 흐름도이다. 도 1 내지 도 3을 참조하면, 암호 인증 방법은 다음과 같다.

비밀 정보(예를 들어, K, N)를 이용하여 제 1 함수(121, 도 1 참조)에 의해 제 1 암호 연산이 수행된다(S110). 비밀 정보 없이 제 1 암호 연산의 결과를 이용하여 제 2 함수(122, 도 1 참조)에 의해 제 2 암호 연산이 수행된다(S120). 비밀 정보 및 제 1 암호 연산의 결과값과 제 2 암호 연산의 결과값을 이용하여 제 3 함수(123, 도 1 참조)에 의해 제 3 암호 연산이 수행된다(S130). 제 3 암호 연산의 결과값에 따라 외부의 복호 모듈(140)에 제 1 암호 연산의 결과값 혹은 그것의 일부를 전송할 지가 결정된다. 예를 들어, 제 3 함수(123)에서 계산된 인증 코드(T')가 입력된 인증 코드(T)와 일치할 때, 제 1 암호 연산의 결과값(OUT1)이 복호 모듈(140)에 전송되고, 암호문(C)에 대한 복호화 동작이 수행된다(S140). 경우에 따라 복호 모듈(140)에 전달되는 값은 상기 제 1 암호 연산의 결과값 자체가 될 수도 있고, 아니면 그것의 일부 값, 혹은 그것과 관련된 어떤 정보가 될 수도 있다. 가령, OUT1에 임의의 공개 치환 함수(이때, 역연산이 효율적이어야 함.)를 적용한 값이 OUT1'이라고 한다면, 상기 복호 모듈은 OUT1'으로부터 OUT1을 효율적으로 계산을 할 수 있게 된다.

본 발명의 실시 예에 따른 암호 인증 방법은, 크립토 모듈(120)에서 인증 코드 검증할 때 비밀 정보를 이용하고, 크립토 모듈(120) 외부의 복호 모듈(140)에서 암호문(C)에 대한 복호화 동작을 비밀 정보를 이용하지 않고 수행한다. 이로써, 본 발명의 전자 장치(100)는 종래의 그것과 비교하여 복호화 동작시 크립토 모듈(120) 내부의 메모리 사용을 최소화시킬 수 있다.

도 4는 본 발명의 다른 실시 예에 따른 전자 장치(100a)를 예시적으로 보여주는 도면이다. 도 4를 참조하면, 암호 인증 기법은 도 1에 도시된 그것과 비교하여 난스(N)를 입력 받지 않는 것을 특징으로 한다. 크립토 모듈(120a)은 제 1 함수(121a), 제 2 함수(122a) 및 제 3 함수(123a)로 구성된다.

도 4에 도시된 크립토 모듈(120a)은 도 2에 도시된 그것과 달리 암호 인증 및 복호 검증 순서가 틀리다. 암호 검증 과정에서는 제 3 함수 -> 제 1 함수 -> 제 2 함수 과정을 거치고, 복호 검증 과정시 제 1 함수 -> 제 1 결과값에 연관된 값 저장 -> 제 2 함수의 역변환 -> 제 3 함수 -> 제 2 함수'의 과정을 거치게 된다. 여기서 제 2 함수' 은 도 1과 관련하여 설명한 것처럼 외부 복호 모듈 내에 있는 제 2 함수와 유사하거나 동일한 함수를 뜻한다. 여기서 유사하다는 의미는 복호 모듈이 받은 상기 제 1 결과값에 연관된 값을 받았으면, 이로부터 원래의 상기 1 결과값 중 복호화에 필요한 값을 축출하여 얻는 과정이 추가되기 때문이다.

도 4와 도 1의 연산 순서가 다른 이유는 크립토 모듈 (120a) 내에서의 암호 인증 과정의 경우, 제 3 함수 (123a)의 계산 없이는 인증 코드 T를 계산할 수 없고, 인증 코드 T는 제 1 함수과 제 2 함수에 영향을 준다. 크립토 모듈(120a)는 외부로부터 부가 정보(A)와 평문(M)를 블록 단위로 받아 상기 제 3 함수(123a)에서 인증 코드 T를 발생하고, 제 1 함수에게 T 값을 넘겨준다. 이때, 부가 정보 외에 공개 난스 혹은 카운터 값과 같은 공개 정보들이 외부로부터 입력될 수 있다. 제 1 함수 (121a)에서는 비밀 키 (K) 및 인증 코드(T) 혹은 부가 정보 (A)를 이용하여 OUT1를 출력한다. 이때, 비밀 키 대신 임시 비밀 난스와 같은 임시 비밀 정보가 사용될 수 있다. 최종적으로 제 2 함수는 OUT1과 외부로부터 평문 M을 블록 단위로 입력으로 받아 (이때, 부가 정보 혹은 공개 난스와 같은 공개 정보들을 함께 입력될 수 있다.) 최종 암호문을 블록 단위로 발생하여 외부에 인증 코드 T와 암호문 블록을 블록 단위로 외부 기기로 전달한다. 암호 모듈의 메모리의 크기에 여유가 있다면, 블록 단위로 처리하지 않고 여러 블록을 함께 발생하여 처리할 수도 있다.

도 4에서 크립토 모듈 (120a) 내에서의 복호 검증 과정의 경우에는, 상기 크립토 모듈 (120a)는 외부로부터 부가 정보 A, 인증 코드 T와 암호문 C를 블록 단위로 입력 받아 먼저 제 1 함수 (121a)을 수행하여 OUT 1을 발생한다. 이때, 경우에 따라 난스 N 값을 외부로부터 입력 받을 수 있다. 경우에 따라 부가 정보가 없을 수도 있다. 그리고 상기 크립토 모듈은 OUT1을 이용하여 제 2 함수 (122a)의 역변환을 과정을 통해 평문 (M)를 블록 단위로 (혹은 여러 블록 단위로) 제 3 함수 (123a)에 전달하여 제 3 함수이 T '을 발생하도록 돕는다. 이때 T와 T ' 이 동일하면 인증 코드가 올바르면 상기 크립토 모듈은 외부 기기의 복호 모듈에 OUT1의 전체 혹은 일부와 관련된 OUT1’를 크립토 모듈 외부에 위치한 복호 모듈에게 전달한다. 만약 T와 T’이 일치하지 않으면 에러를 발생시킨다. 최종적으로 도 1에서 설명한 마찬가지 방식으로, 외부의 복호 모듈은 상기 제 2 함수 (122a)와 동일하거나 유사한 함수를 통해 OUT1'으로부터 OUT1 중 복호화에 필요한 값을 계산한 후, 암호문 C를 복호하여 평문 M을 얻게 된다. 이때, 복호 모듈은 부가 정보 혹은 공개된 난스와 같은 공개 정보를 입력으로 사용할 수 있다.

아래에서는 본 발명의 실시 예에 따른 암호 인증 및 복호 검증에 대한 구체적인 실시 예들을 설명하도록 하겠다.

도 5는 치환 함수 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 5를 참조하면, IV1, IV2는 임의의 고정된 상수인 초기값, K는 비밀키, N은 공개된 난스 값 혹은 카운터 값, A는 부가 정보다. 여기서, K, N, A는 패딩된 이후에, 각각이 r (r은 자연수) 비트 데이터라고 가정하겠다. 이때 패딩은 임의의 효율적인 리버서블(reversible) 패딩이 사용될 수 있다.

크립토 모듈(120)은 외부에서 r 비트 블록 단위로 제 1 평문 블록(M1)부터 한 블록씩 입력 받는다. 도 5에서 도시된 바와 같이, 크립토 모듈(120)은 첫 번째 암호문 r 비트 블록(C1)을 발생하여 크립토 모듈(120) 밖으로 전송한다. 마찬가지로, 블록 단위로 한 번씩 암호문 블록을 발생하여 온라인(실시간)으로 처리한다. 이때 평문 블록들은 임의의 리버서블 패딩 방법을 이용함으로써 pad(Mt)=M1…Mt처럼 패딩 이후의 평문 블록 값들이다. 크립토 모듈(120)은 마지막 평문 블록(Mt)을 입력 받고, 마지막 암호문 블록(Ct)을 발생하여 외부로 전송한다. 마지막으로 크립토 모듈(120)은 K, N, A를 이용하여 도 5에서 도시된 바와 같이 인증 코드(T)를 발생한다.

도 6은 도 5에 도시된 치환 함수 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 6을 참조하면, 메모리의 크기에 제약이 있는 크립토 모듈 기반 복호 검증 과정은 다음과 같다. 비밀키(K)를 알고 있는 크립토 모듈(120)의 제 1 함수(121)는 먼저 복호 검증 과정을 위해 외부로부터 난스(N), 및 부가 정보(A)를 입력 받고, 제 1 출력값 쌍 (OUT1_1,OUT1_2)을 발생한다. 발생된 제 1 출력값 쌍 (OUT1_1,OUT1_2)은 크립토 모듈(120)의 내부 메모리에 임시적으로 저장된다. 그리고, 차례차례 암호문(C)를 블록 단위로 외부로부터 입력 받는다. 여기서 상기 제 1 출력값 쌍은 비밀 키, 난스, 부가 정보를 처리한 이후의 내부 상태 값으로 정의하고 있는데, 상기 제 1 출력값 쌍을 비밀 키 적용 이후의 내부 상태 값 혹은 난스 적용 이후의 내부 상태 값으로도 정의할 수 있다.

이때, 제 2 함수(122)는 절대로 평문 블록 값을 외부에 전송하지 않고 암호문 블록 정보를 저장하지 않은 채 실시간으로 처리하여 제 3 출력값 쌍(OUT3_1, OUT3_2)를 발생한다.

제 3 함수(123)는 최종적으로 인증 코드(T)값을 외부로부터 입력 받고, 계산된 인증 코드(T)와 입력된 인증 코드(T)이 동일한 지를 체크한다. 이때, 인증 코드(T) 값이 올바르면, 제 1 함수(121)는 외부로 제 1 함수(121)의 제 1 출력값 쌍(OUT1_1, OUT1_2)를 전송한다. 반면에, 인증 코드(T) 값이 올바르지 않으면, 복호 검증 과정이 중단되고, 에러 메시지가 외부로 전송된다. 외부의 복호 모듈(140)에서는 출력된 제 1 출력값 쌍(OUT1_1, OUT1_2)을 이용하여 암호문(C)에 대한 평문(M)을 복호화할 수 있다. 상기 복호 모듈은 복호화시 부가 정보 및 공개 난스와 같은 공개 정보를 함께 입력으로 사용할 수 있다.

도 7은 비밀 난스를 사용한 경우에 대한 치환 함수 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 7을 참조하면, 암호 인증 방식은, 도 5에 도시된 그것과 비교하여 난스(N)가 비공개된 경우이다. 오직 비밀키(K)를 아는 경우에만 C0로부터 난스(N)값이 발생될 수 있다.

암호 인증 과정은 다음과 같다. 크립토 모듈(120)은 외부로부터 부가 정보(A)를 먼저 입력 받고, 내부적으로 비밀 난스(N)을 랜덤하게 발생하고, 입력된 비밀키(K)를 이용하여 상기 비밀 난스로부터 발생된 C0를 외부로 전송한다. 메시지 블록들 각각은 외부로부터 입력 되고, M1부터 하나씩 처리하여 암호문 블록들이 실시간으로 발생되고, 외부로 전송된다 끝으로 비밀 난스(N)을 이용하여 인증 코드(T)가 발생되고, 이를 외부로 전송한다.

도 8은 도 7에 도시된 치환 함수 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 8을 참조하면, 복호 검증 과정은 다음과 같다. 제 1 함수(121)는 부가 정보(A)와 C0을 외부로부터 입력 받으면, 난스( N)을 계산하고, 제 1 출력값 쌍(OUT1_1, OUT1_2)을 계산하고, 계산된 제 1 출력값 쌍(OUT1_1, OUT1_2)을 크립토 모듈(120) 내에 안전하게 저장해 놓는다. 여기서 상기 제 1 출력값 쌍은 비밀 키, 비밀 난스, 부가 정보를 처리한 이후의 내부 상태 값으로 정의하고 있는데, 상기 제 1 출력값 쌍을 비밀 난스 적용 이후의 내부 상태 값으로도 정의할 수 있다.

제 2 함수(122)는 암호문 블록을 하나씩 받아서 제 3 출력값들(OUT3_1, OUT3_2)를 계산한다. 제 3 함수(123)는 비밀 난스(N)를 이용하여 외부로부터 입력된 인증 코드(T)가 올바른 값인지를 검증한다.

만일, 인증 코드(T)가 올바르다면, 외부의 복호 모듈(140)로 제 1 출력값 쌍(OUT1_1, OUT1_2)이 전송되고, 복호 모듈(140)은 직접 입력된 암호문에 대한 복호화 동작을 수행한다. 이때, 복호화 과정 동안 부가 정보와 같은 공개 정보가 사용될 수 있다. 그리고, 상기 제 1 출력값 쌍을 바로 전송하는 대신, 공개 치환 함수에 상기 제 1 출력값 쌍을 적용한 값을 복호 모듈에 전송할 수도 있다. 반면에, 인증 코드(T)가 올바르지 않으면, 에러 메시지가 외부로 전송되고, 복호 검증 과정이 종료된다.

도 9는 임시 비밀 키 쌍 (N, N’)을 이용한 치환 함수 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 9를 참조하면, 암호 인증 방식은 공유 비밀키(K)를 이용하지 않고, 임시 비밀 키 쌍(N, N’)를 이용한 경우이다. 임시 비밀 키 쌍(N,N’)은 매번 바뀌는 값이고, 공유 비밀키(K)를 이용하여 두 크립토 모듈이 사전에 공유한 값들이다. 임시 비밀 값 쌍들(N, N’)을 보호하기 위하여 N을 해쉬 함수 H를 이용하여 해쉬한 C0값이 발생되고, 상대 크립토 모듈에게 C0값이 전송된다. 이때, 암호 모듈은 N에 대응되는 N' 값을 쉽게 N으로부터 얻을 수 있다고 가정한다. 예를 들어, 비밀 키 K와 해쉬 함수 H를 이용하여 N'=(K||N)와 같이 정의할 수 있다.

공유 비밀 키(K)를 알고 있는 상대 크립토 모듈은 C0로부터 사용된 임시 비밀 키 쌍(N,N’)를 얻을 수 있다. 이때 C0값에 대응되는 임시 비밀 정보인 임시 비밀 키 쌍(N,N’)이 유효한지를 효율적으로 검증하기 위하여, 임시 비밀 키 쌍 (N,N’)에 대응되는 인덱스가 함께 전송될 수 있다. 여기서 인덱스는 공유키(K)를 가지고 임시 비밀 키 쌍 발생 시에 사용된 인덱스를 가리킨다. 암호 인증 시 크립토 모듈은 외부로부터 부가 정보(A)와 평문 블록을 하나씩 입력 받고, 실시간으로 암호문 블록을 발생하여 외부로 전송한다. 이때 메시지를 위한 패딩 방법은 임의의 효율적인 리버서블(reversible) 방법일 수 있다. 그리고 마지막으로 임시 비밀 키 쌍을 이용하여 인증 코드(T)를 발생하여 외부로 전송하므로, 암호 인증 과정은 종료된다.

도 10은 도 9에 도시된 치환 함수 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 10을 참조하면, 복호 검증 시 크립토 모듈(120)은 부가 정보(A), 암호문 블록들, 그리고 마지막 인증 코드(T)까지 실시간으로 하나씩 외부로부터 입력 받는다. 먼저 공유 비밀 키(K)를 알고 있는 크립토 모듈은 C0로부터 사용된 임시 비밀 키 쌍(N,N’)이 사용해도 되는 값들인지를 먼저 체크한다. 여기서 체크 방법은 사용 가능한 비밀 키 쌍과 그것의 해쉬 값을 크립토 모듈 내 테이블에 저장해 놓고, C0가 유효한 임시 비밀 키 쌍으로 발생된 값인지를 검증할 수 있다. 이때, 검색 시간을 단축시키기 위하여 C0에 인덱스 값이 추가적으로 입력될 수 있다.

만일, C0가 유효한 값이 아니면, 복호 검증 과정이 중단된다. 반면에, C0가 유효한 값이면, 대응하는 임시 비밀 키 쌍 (N,N’)을 이용하여 복호화 동작이 수행되고, 최종적으로 인증 코드(T)가 올바른 경우, 제 1 출력값 쌍(OUT1_1,OUT1_2)이 외부의 복호 모듈(140)로 전송되고, 복호 모듈(140)은 입력된 제 1 출력값 쌍(OUT1_1, OUT1_2)을 이용하여 암호문을 복호할 수 있다.

도 11은 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 11을 참조하면, Const1과Const2, Const3는 서로 다른 상수 값들이고, K는 공유 비밀 키이다. 크립토 모듈(120)은 내부에서 랜덤하게 난스(N)를 발생하여 C0를 발생하고, 이어서 외부로부터 부가 정보(A)와 평문 블록 정보를 실시간으로 전송받고 암호문을 발생하여 외부 기기로 실시간으로 C0를 포함한 암호문 블록을 전송한다. 이때 부가 정보(A)를 위한 패딩 방법은 임의의 효율적인 리버서블일 수 있다. 그리고, 메시지에 대한 패딩 방법은 요구되지 않는다. 최종적으로 크립토 모듈(120)은 Checksum=α1 xor...xor αj xor M1 xor M2 xor ...xor (Mt||0*)을 정의하여 최종 인증 코드(T)을 발생하여 외부로 인증 코드(T)를 전송함으로 암호 인증 과정을 종료한다.

도 12는 도 11에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 12을 참조하면, 공유 비밀 키(K)를 알고 있는 크립토 모듈(120)은 C0로부터 랜덤 난스(N)을 얻어 내고, 부가 정보(A) 및 암호문 블록들을 실시간 외부로부터 전송받아 최종 인증 코드(T)를 계산한다. 그리고 최종적으로 인증 코드(T)가 올바른 값이면, 크립토 모듈(120)은 제 1 출력값 쌍(OUT1_1, OUT1_2)를 외부로 전송한다. 그러면 외부의 복호 모듈(140)은 제 1 출력값 쌍(OUT1_1, OUT1_2)을 이용하여 암호문을 복호할 수 있다.

도 13은 체크썸(Checksum) 발생 방식, 패딩 방식을 변경한 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 13을 참조하면, 블록 암호 기반 암호 인증 방식은, 도 11에 도시된 그것과 비교하여 아래의 세 가지 차이점들을 갖는다. 첫째는 매 번 n 비트 블록 암호 연산 시, 사용된 블록 키를 n/2비트만큼 왼쪽으로 순환 이동시킨 이후의 값을 블록 암호의 입력 값에 xor 연산을 수행한다는 점이다. 둘째는, Checksum 발생 시 평문 블록을 이용하지 않고, 도 13에 도시된 바와 같이 a1,...,at 값들을 이용한다는 점이다. 셋째는 메시지 블록 발생 시 메시지 패딩 방법이 요구된다.

도 14는 도 13에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 14에 도시된 복호 검증 과정은, 도 12에 도시된 그것과 유사하기에 여기서는 설명을 생략하겠다.

도 15는 임시 비밀 키와 같은 임시 비밀 정보를 이용한 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 15를 참조하면, 블록 암호 기반 암호 인증 방식은, 도 13에 도시된 그것과 비교하여, C0를 발생하는 방법을 제외하고 모든 과정이 동일하다. 도 15에서는 해쉬 함수(H)를 이용하여 C0가 발생된다. 이는 두 크립토 모듈 사이에 공유 비밀 키(K)로부터 사용 가능한 임시 비밀 키 값을 동기화한 경우에 사용하는 방법이다.

도 16은 도 15에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 16을 참조하면, C0가 유효한 값이면, 복호 검증이 수행되고, C0가 유효하지 않으면 복호 검증 과정이 중단된다.

한편, 아래의 도 17 및 도 18에서는 도 4에서 설명된 암호 인증 및 복호 검증 방식에 따른 구체적인 실시 예들을 설명하도록 하겠다.

도 17은 난스 혹은 카운터 값을 사용하지 않는 블록 암호 기반 암호 인증 방식의 예를 보여주는 도면이다. 도 17에 도시된 바와 같이, 크립토 모듈(120a)은 의사 난수 성질을 갖는 MAC(message authentication code) 함수(예를 들어, HMAC이 될 수 있음.)를 이용하여, 이것의 입력 값으로 키(K), 부가 정보(A), 평문(M)을 입력으로 받고 인증 코드(T)를 발생한다. 경우에 따라 부가 정보가 입력으로 받지 않을 수 있다. 경우에 따라, 비밀 키 K 대신 임시 비밀 정보가 사용될 수 있다. 이 경우, 도 15에서 보인 것처럼 C0를 사용하여 임시 비밀 정보의 유효성을 검증할 수 있다.

이때 MAC 함수는 블록단위 혹은 적은 수의 블록들 단위로 순차 처리가 가능한 것을 사용해야 한다. 이는 복호 검증 시 CTR(counter) 모드를 이용한 복호화시 블록 단위 혹은 적은 수의 블록들의 단위로 평문 블록 혹은 평문 블록들을 받게 되고, 바로 평문 블록 혹은 평문 블록들을 MAC 함수에 입력으로 전달함으로 실시간으로 인증 코드(T)를 발생할 수 있기 때문이다. 그리고 크립토 모듈(120a)은 크립토 모듈 사이에 공유된 키(K)를 이용하여 암호 인증 과정 시 인증 코드(T)를 암호화하여 K*를 발생하고, 끝으로 인증 코드(T)를 CTR(counter) 암호화 모드의 카운터로, K* 값을 CTR 모드의 비밀 키(K)으로 입력된 평문(M)에 대한 암호문을 발생한다. 이때 K* 값은 일회용 암호 키로 사용된 경우인데, 이처럼 발생된 일회용 암호 키를 이용하여 도 17에서 보인 CTR 모드 뿐 아니라 다양한 암호 모드에 대해 적용하여 암호문을 발생할 수 있다.

도 18은 도 17에 도시된 블록 암호 기반 암호 인증 방식에 대응하는 복호 검증 과정을 보여주는 도면이다. 도 18을 참조하면, 복호 검증 과정은 다음과 같다. MAC 함수 연산 과정은 도 4에 도시된 제 3 함수(123)에 대응되고, K* 값을 발생하는 과정은 도 4에 도시된 제 1 함수(121)에 대응되고, 최종 CTR 암호화는 제 3에 도시된 제 2 함수(122)에 대응한다. 도 18에 도시된 바와 같이, 제 1 출력값(OUT1_1)는 인증 코드(T)가 되고, 제 1 출력값(OUT1_2)은 K*에 대응된다.

크립토 모듈(120a)은 복호 검증을 위하여 먼저 난스(N), 부가 정보(A), 및 암호문(C)를 입력 받고, CTR 복호화를 수행하는 동시에 실시간으로 얻어진 메시지 블록을 이용하여 MAC 값 검증하고, 인증 코드(T)를 검증한다. 만일, 인증 코드(T)가 올바르지 않을 경우, 복호 검증이 중단된다. 반면에, 인증 코드(T)가 올바를 경우, 크립토 모듈(120)은 공유 비밀 키(K)를 이용하여 인증 코드(T)에 대응되는 암호문 K* 값을 계산하여 외부 기기에 전송한다. 최종적으로 외부 기기는 인증 태그(T)와 K*를 이용하여 암호문에 대한 복호화 동작을 수행한다.

한편, 상술 된 본 발명의 내용은 발명을 실시하기 위한 구체적인 실시 예들에 불과하다. 본 발명은 구체적이고 실제로 이용할 수 있는 수단 자체뿐 아니라, 장차 기술로 활용할 수 있는 추상적이고 개념적인 아이디어인 기술적 사상을 포함할 것이다.

본 발명은 암호연산을 수행하는 모든 장치에 이용 가능하다.

Claims (20)

1. 크립토 모듈과 복호 모듈을 갖는 전자 장치의 암호 인증 및 복호 검증 방법에 있어서:

   비밀 정보를 이용하여 제 1 함수에 의해 제 1 암호 연산을 수행하고, 상기 비밀 정보 없이 상기 제 1 암호 연산의 결과값을 이용하여 제 2 함수에 의해 제 2 암호 연산을 수행하고, 및 상기 제 1 및 제 2 암호 연산의 결과값들 및 상기 비밀 정보를 이용하거나 상기 제 2 암호 연산의 결과값 및 상기 비밀 정보를 이용하여 제 3 함수에 의해 제 3 암호 연산을 수행함으로써, 암호 인증을 수행하는 단계; 및

   상기 제 3 암호 연산의 결과값에 따라 상기 제 1 암호 연산의 결과값의 전체 혹은 일부 값과 연관된 값을 상기 복호 모듈로 출력할 지를 결정함으로써, 복호 검증을 수행하는 단계를 포함하는 암호 인증 및 복호 검증 방법.
2. 제 1 항에 있어서,

   상기 비밀 정보는 비밀키, 임시 비밀 정보 혹은 비밀 난스인 암호 인증 및 복호 검증 방법.
3. 제 2 항에 있어서,

   상기 비밀 정보는 상기 크립토 모듈 내부에서 발생되는 암호 인증 및 복호 검증 방법.
4. 제 2 항에 있어서,

   상기 제 1 함수는 부가 정보를 상기 크립토 모듈의 외부로부터 입력 받는 암호 인증 및 복호 검증 방법.
5. 제 2 항에 있어서,

   상기 제 1 함수의 결과값은 적어도 하나의 제 1 출력값 혹은 적어도 하나의 제 2 출력값을 포함하고,

   상기 적어도 하나의 제 1 출력값은 상기 제 2 함수에 입력되는 암호 인증 및 복호 검증 방법.
6. 제 5 항에 있어서,

   상기 제 2 함수는 상기 암호 인증시 평문을 암호문으로 암호화하는 암호 인증 및 복호 검증 방법.
7. 제 5 항에 있어서,

   상기 제 3 함수는 상기 암호 인증시 상기 제 1 함수의 적어도 하나의 제 2 출력값 혹은 상기 제 2 함수의 출력값을 입력받고, 인증 코드를 발생하는 암호 인증 및 복호 검증 방법.
8. 제 1 항에 있어서,

   상기 제 3 함수는 상기 복호 검증시 상기 발생된 인증 코드와 입력된 인증 코드를 비교함으로써 상기 인증 코드가 유효한 지를 판별하는 암호 인증 및 복호 검증 방법.
9. 제 8 항에 있어서,

   상기 제 1 함수의 상기 적어도 하나의 출력값의 전체 혹은 일부와 연관된 값을 상기 복호 모듈에 출력하지 않고, 복호 동작이 종료되는 암호 인증 및 복호 검증 방법.
10. 제 8 항에 있어서,

    상기 인증 코드가 유효하다면, 상기 제 1 함수의 상기 적어도 하나의 출력값의 전체 혹은 일부와 연관된 값이 상기 복호 모듈로 출력되는 암호 인증 및 복호 검증 방법.
11. 제 10 항에 있어서,

    상기 복호 모듈에서 상기 적어도 하나의 출력값의 전체 혹은 일부와 연관된 값을 이용하여 평문이 복호화되는 암호 인증 및 복호 검증 방법.
12. 제 10 항에 있어서,

    상기 제 1 적어도 하나의 출력값 혹은 상기 제 2 적어도 하나의 출력값이 상기 크립토 모듈의 내부 메모리에 임시로 저장되는 암호 인증 및 복호 검증 방법.
13. 비밀 정보를 이용하는 제 1 함수, 상기 비밀 정보를 이용하지 않는 제 2 함수, 및 상기 비밀 정보를 이용하는 제 3 함수에 의하여 암호 인증을 수행하거나, 상기 제 1 함수 및 상기 제 3 함수에 의하여 복호 검증을 수행하는 크립토 모듈; 및

    상기 복호 검증시 상기 제 3 함수의 결과값에 따라 상기 제 1 함수의 결과값을 입력 받고, 상기 제 1 함수의 결과값과 연관된 값을 이용하여 평문을 복호화시키는 복호 모듈을 포함하는 전자 장치.
14. 제 13 항에 있어서,

    상기 제 1 함수, 상기 제 2 함수, 및 상기 제 3 함수 각각은 치환 함수 기반 함수인 전자 장치.
15. 제 14 항에 있어서,

    상기 제 1 함수 및 상기 제 3 함수 각각은 공유된 비밀 키 및 난스를 이용하여 상기 암호 인증을 수행하는 전자 장치.
16. 제 14 항에 있어서,

    상기 제 1 함수 및 상기 제 3 함수 각각은 임시 비밀 정보를 이용하여 상기 암호 인증을 수행하는 전자 장치.
17. 제 13 항에 있어서,

    상기 제 1 함수, 상기 제 2 함수 및 상기 제 3 함수 각각은 블록 암호 기반 함수인 전자 장치.
18. 크립토 모듈과 복호 모듈을 갖는 전자 장치의 암호 인증 및 복호 검증 방법에 있어서:

    제 1 함수에서 인증 코드와 비밀 정보를 이용하여 제 1 출력값을 발생하는 제 1 암호 연산을 수행하고, 제 2 함수에서 상기 비밀 정보 없이 상기 제 1 암호 연산의 제 1 출력값과 평문을 이용하여 암호문을 출력하는 제 2 암호 연산을 수행하고, 제 3 함수에서 상기 비밀 정보와 상기 평문을 이용하여 상기 인증 코드를 발생함으로서 암호 인증을 수행하는 단계; 및

    상기 제 3 암호 연산의 결과값에 따라 상기 제 1 암호 연산의 결과값의 전체 혹은 일부 값과 연관된 값을 상기 복호 모듈로 출력할 지를 결정함으로써 복호 검증을 수행하는 단계를 포함하는 암호 인증 및 복호 검증 방법.
19. 제 18 항에 있어서,

    상기 제 1 함수 및 상기 제 3 함수는 난스 값 혹은 카운터 값을 이용하지 않고 크립토 모듈들 사이에 공유된 비밀 키를 이용하여 상기 암호 인증을 수행하는 암호 인증 및 복호 검증 방법.
20. 제 18 항에 있어서,

    상기 제 1 함수는 상기 공유된 비밀 키와 상기 인증 코드를 이용하여 상기 제 2 함수에서 사용될 암호 키를 발생하는 암호 인증 및 복호 검증 방법.

Images